Jump to content
  • 31

Включение отключение правил NAT и firewall


CBLoner

Question

По ходу своей работы столкнулся с такой жутко неудобной проблемой:

Настраиваю правила трансляции портов на NAT или правила блокировке firewall. Обычно это не одно правило, например RDP на несколько машин и еще пара портов проброа для временного/постоянного доступа, а так же firewall правила - до двух десятков бывает.

Но вот незадача, если надо временно выключить доступ ко внутренним портам (бывает что на задачу 2-3 правила) то не кнопки выключить правило, его можно только банально "грохнуть"! :-o Но мне в 80% случаев через какое-то время опять нужно включить правила и приходиться его создавать с нуля! Ну надо например на час два RDP закрыть, а потом открыть. А иногда порты-то по памяти и не вспомнишь! 

Так к чему я, на многих железках есть помимо удалить и вверх вниз приоритет поднять, кнопка выключить обработку правила, чтобы потом при необходимости его просто включить, а не создавать заново! :? 

А firewall если из десятка правил тестируешь... проще выключить и посмотреть как без правила работать, чем после удаления сказать - "Нет, давай ка назад и создавать правило заново!" Это ж время убивается и жесть как неудобно!

На многих D-Link, NetGear, да чего далеко ходить, юзаю USG 40W и там все прекрасно есть... и куча правил... и часто половина выключены, а когда они нужны, я их просто включаю, заметьте, просто включаю, а не вспоминаю с мукой, что надо и не создаю заново!

Пускай сделают напротив правило еще колонку, а там (как многие обычно делают) иконка лампочки, либо горит, либо нет. На худой конец галочки хватит! :D

Заранее всем благодарен!

  • Thanks 3
Link to comment
Share on other sites

Recommended Posts

  • 2
В 12/10/2016 в 00:58, ndm сказал:

Добавлено в версии 2.08.A.12.0-0. В вебе пока черновой, но уже рабочий вариант.

Нашел где! Даже NATовкие правила потестил! (какой политический калабур вышел! :-D)

Огромное спасибо! Сразу пару замечаний:

1. Конечно лучше еще в список вынести, а то лазить по всем правилам в поисках включено/выключено- :o

2. Думаю в списке правил либо лампочку - горит/не горит, либо серым шрифт делать, дабы визуально видно было! А лучше и то и то!

Ну это все не придирки, а пожелания! А так огромное спасибо!!! Ждем улучшений!!!!

  • Thanks 2
Link to comment
Share on other sites

  • 1

Присоединяюсь, мне часто тоже нужно создавать временные правила. Было бы удобно, если бы правила можно было бы активировать-деактивировать галочками или кнопками, при этом чтобы они хранились в памяти, один раз прописанные.

Link to comment
Share on other sites

  • 1

@Roman_Petrov ;-) Я же не прошу такую замороченную схему с жуткой иерархией и применения разных метрик, маршрутов и туннелей! ;-) Я просто прошу одну МАААААЛЕНЬКУЮ лампочку ;-)

Чтобы не рыть руками список из 20 правил, ища какие из них ДА, а какие НЕТ! ;-)

Edited by cbloner
  • Thanks 2
Link to comment
Share on other sites

  • 0
В 13.07.2016 в 16:54, cbloner сказал:

По ходу своей работы столкнулся с такой жутко неудобной проблемой:

 

А если просто вместо запретительного правила ставить разрешающее путём редактирования?

ну например было 

deny udp/ 115.254.64.0/255.255.224.0   *

...редактируешь его ...вместо deny ставишь permit

Link to comment
Share on other sites

  • 0

Конечно вариант... Но представь цепочку из 20 правил, и в середине через одно, для тестов ставишь permit... А потом сидишь и вспоминаешь permit тут для того чтобы проверить или я это так правило выключил?! :?

Блокнот конечно никто не отменял :-D, но все же хочется по человечески и наглядно! Но костыль неплох! :cool:

Link to comment
Share on other sites

  • 0
В 13.07.2016 в 16:54, cbloner сказал:

По ходу своей работы столкнулся с такой жутко неудобной проблемой:

Я нашёл свой путь (ц) - если нужно отключить правило, я выбираю другой интерфейс/сегмент, обычно это Guest Wi-Fi, который 99% времени выключен. А так можно и дальше пойти - создать отдельный интерфейс и на него вешать правила, которые нужно выключить.

  • Thanks 1
Link to comment
Share on other sites

  • 0

Хорош костыль, но костылём и остается ;-) Но все же хочется аккуратной реализации. ;-) 

Link to comment
Share on other sites

  • 0
В ‎22‎/‎07‎/‎2016 в 13:43, cbloner сказал:

Хорош костыль, но костылём и остается ;-) Но все же хочется аккуратной реализации. ;-) 

 

В ‎20‎/‎07‎/‎2016 в 08:31, JIABP сказал:

Я нашёл свой путь (ц) - если нужно отключить правило, я выбираю другой интерфейс/сегмент, обычно это Guest Wi-Fi, который 99% времени выключен. А так можно и дальше пойти - создать отдельный интерфейс и на него вешать правила, которые нужно выключить.

Есть конечно вариант даже проще. На вкладке файлы сохранять каждый раз конфигурацию и подкидывать ту, с теми портами, которая на данный момент нужна. Потом обратно старый конфиг.

Link to comment
Share on other sites

  • 0

Ещё не просто правил отключать \включать а возможность задать времени его включения\отключения . Такое  есть например в микротиках.

Link to comment
Share on other sites

  • 0
5 часов назад, iocsha сказал:

Ещё не просто правил отключать \включать а возможность задать времени его включения\отключения . Такое  есть например в микротиках.

Именно так по расписанию если, то возможно уже сейчас, используя cron или crontab с ndmq в Entware.

Link to comment
Share on other sites

  • 0
В 04.08.2016 в 12:48, iocsha сказал:

Ещё не просто правил отключать \включать а возможность задать времени его включения\отключения . Такое  есть например в микротиках.

Ну это уже изыски. Неплохо, но наверное лучше как ниже советуют! ;-)

А вот вкл./выкл в обязательном порядке!

Link to comment
Share on other sites

  • 0

Хочу: иметь возможность отключать правила трансляции NAT и сетевого экрана.

Когда много правил - приходится править все разрешить\запретить через интерфейс, править конфиг файл, или удалять их скопом.

Из возможности отключать правила, вытекает возможность управлять ими по расписанию.

Ещё: кнопка Перезагрузить почему-то в настройках, а не на главной. Доступ к журналу удобней когда он на первой вкладке параметров а не третьей, он нужен согласитесь чаще чем настройка даты и времени.

И там же на главной нет кнопки Выход (раньше вроде была).

Edited by Heimdall
Link to comment
Share on other sites

  • 0
26 минут назад, Heimdall сказал:

И там же на главной нет кнопки Выход (раньше вроде была).

Нет, не было. И это нереализуемо: авторизация происходит через HTTP-расширение Digest-Auth (Basic Auth в случае с SSL), которое не использует Cookie, и невозможно сбросить программно через JS.

  • Thanks 1
Link to comment
Share on other sites

  • 0

Ясно. Использует активный сеанс и похоже надёжно, после перезапуска браузера снова запрос пароля.

А остальные предложения в силе.

Если не сделаете, не буду больше качать новые прошивки на свой старый кинетик, понятно?

Link to comment
Share on other sites

  • 0
В 9/26/2016 в 09:17, Heimdall сказал:

А остальные предложения в силе.

Если не сделаете, не буду больше качать новые прошивки на свой старый кинетик, понятно?

Понятно. Есть тема про отключение правил, можете проголосовать. Эту закроем, чтобы не дублировать.

 

Link to comment
Share on other sites

  • 0

или здесь .. все правила поддерживают префикс no .. максимальная загвоздка, что "no" может убирать строку из running-config .. ответвление логики для нужных секций, чтобы не было удаления .. вроде не самая сложная проблема. дополнительное поле с чекбоксом в gui и работа с массивом .. да любой менеджер проекта максимум неделю на это даст :)

Link to comment
Share on other sites

  • 0

Чета обновился на draft a12 (итак сижу на драфте в ожидании фишечек), но не firewall ни port mapping ничего не увидел! Есть хитрая фишечка по включению? :-/


Отправлено с моего iPad используя Tapatalk

Link to comment
Share on other sites

  • 0

Куда-то делось мое сообщение про тест NATовских правил ;_) (политическое заявление прямо).

Когда планируется галочку из самого правила продублировать в список правил, в табличке? Ну чтобы все правила не шерстить и сразу видно было!

А так все супер! Спасибо!

P.S. А почему я свой предыдущий пост не вижу? ;-(

Edited by cbloner
Довопрос.
Link to comment
Share on other sites

  • 0
54 минуты назад, cbloner сказал:

Куда-то делось мое сообщение про тест NATовских правил ;_) (политическое заявление прямо).

Когда планируется галочку из самого правила продублировать в список правил, в табличке? Ну чтобы все правила не шерстить и сразу видно было!

А так все супер! Спасибо!

P.S. А почему я свой предыдущий пост не вижу? ;-(

Ваш предыдущий пост от 11 декабря, более позднего нет. Видимо не отправился.

Link to comment
Share on other sites

  • 0

Здравствуйте, не хочу создавать отдельную тему, т.к. мой вопрос-идея-предложение, относиться к похожей теме.

Было бы здорово, если бы была возможность создавать фаервольные правила автоматически при выборе того или иного установленного соединения, что-то типа того, что на рисунке, а также для фаервола отдельный лог файл.

fw.png

Link to comment
Share on other sites

  • 0
11 час назад, Mr.Hunt сказал:

Здравствуйте, не хочу создавать отдельную тему, т.к. мой вопрос-идея-предложение, относиться к похожей теме.

Было бы здорово, если бы была возможность создавать фаервольные правила автоматически при выборе того или иного установленного соединения, что-то типа того, что на рисунке, а также для фаервола отдельный лог файл.

fw.png

1. Сброс соединения без блокировки в firewall практического смысла не имеет, поскольку следующий пакет снова создаст запись в conntrack. Или вы хотите, чтобы всем сторонам разослался TCP RST?

2. Вот это интереснее, подумаем. Однако тут нет интерфейсов, потому непонятно как создавать блокировку.

3. Тоже нужно подумать.

4. Насчет журнала тоже надо подумать.

А вообще будущее этой вкладки туманно.

Link to comment
Share on other sites

  • 0

1. Сброс соединения почти согласен - почти нет смысла, за исключением когда "забанил", а потом уже скидываешь или если "хрень", которая конект пробросила не сразу его переподнимает!

2. Да, было бы забавно генерировать правила прямо оттуда!

Остальные -+ интересные, но сначала дождемся галочек вкл/выкл в ьаблице с правилами, ну и можно лампочек около низ добавить, типа вкл/выкл ;-)

Link to comment
Share on other sites

  • 0

Всем привет. По поводу "Сбросить соединение" - это на тот случай, если не получится выполнить одновременное создание правила и сброс соединения, собственно как и сказал cbloner. По поводу интерфейсов согласен, тут получается уже установленная сессия, а не момент создания, где видно откуда и куда. Возможно ничего не получится сделать вообще ибо тут процесс должен происходить в ядре системы а не на интерфейсах, как обычно делается это в крупных фаерволах.

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...